Hallo,
ich habe einige Threads durchgeguckt und auch die Suchfunktion benutzt, aber nichts gefunden, was genauer zu meiner Situation passt.

Mein Problem begann letzten Samstag, als ich plötzlich ein komisches Problem mit meiner Internetverbindung entdeckte.
Bei der Suche nach Ursachen stieß ich auf 5 Dateien, die ich nicht kannte und auch nicht einzuordnen wusste (d1.exe, d2.exe.....d5.exe). 2 davon ließen sich normal löschen, die anderen waren anscheinend irgendwie geschützt.
Jedenfalls habe ich seit Samstag sehr komische PC Probleme, denen ich keinen echten Zusammenhang zuordnen kann:

Zum einen ist etwas komisch mit meiner Internetverbindung. Wenn der PC frisch gestartet ist, ist sie noch normal, aber von da an wird sie immer schlechter, bis ich irgendwann keine Internetseiten mehr aufrufen kann. Komischerweise steht die Verbindung dann immer noch und Chatprogramme wie ICQ und Onlinespiele funktionieren weiterhin problemlos.
Dazu ist zu sagen, dass ich über ein Netzwerk mein Internet beziehe und es bei den anderen PCs im Netzwerk perfekt funktioniert.
Inzwischen ist das Problem anscheinend noch schlimmer geworden:
Mittlerweile gibt es sehr viele Internetseiten, die sich nicht mehr öffnen lassen, obwohl andere doch öffnungsfähig sind. Die Auswahl der nicht öffnungsbaren Seiten wirkt eher zusammenhangslos.
Chatprogramme und Onlinespiele laufen aber weiterhin problemlos.

Dann gibt es noch weitere komische Fehler:
Ab und zu kommen Fehlermeldungen beim Starten von Programmen, meine "Eigenen Dateien" sind nicht mehr anwählbar, bzw nur über Umweg übern Arbeitsplatz und mein PC wird ab und zu sehr langsam.
Das beunruhigenste war jedoch, dass ab und zu plötzlich eine Meldung erschien, mein System müsse in 1 Minute heruntergefahren werden.

Aufgrund von meinen Beobachtungen der komischen Dateien und der zusammenhangslosen Fehler hab ich dann schließlich vermutet, dass ein Virus, Trojaner o.Ä. dahinter stecken könne, und hab erstmal Avira drüber laufen lassen.
Nun ja... Volltreffer: Besagte Dateien (d1.exe usw) waren anscheinend Trojaner, jedoch ließen sie sich mit Avira nicht löschen, da sie anscheinend geschützt sind (Mir würden Zugriffsrechte fehlen..).

Avira bezeichnete die Dateien mit "TR./Small.DBY.BY"

Inzwischen hab ich schon anderes probiert, wie z.B. im abgesicherten Modus mit Programmen wie Search&Destroy etc drüber zu gehen, aber ich bekomm die Viecher nicht weg, und damit auch die komischen Probleme nicht.

Ich hoffe, ihr könnt mir irgendwie helfen, mein PC ist ein einziges Chaos atm.

Hallo und im Trojaner Board!


Erstellung eines Hijacklog

Poste als erstes ein Hijacklog, wie es erstellt wird findest du im Anleitungsforum.
ACHTUNG:
Bitte durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny

TR./Small steht für Backdoor-Funktion, bzw.Trojan-Downloader, egal was dann immer hinter dem Punkt für drei Zeichen stehen oder welches Virenprogramm welchen Namen vergibt. Unterschiede gibts da bestimmt, aber die machen den Kohl nicht fett. Denn solange du diese Fragen nicht geklärt hast, brauchst du dir um den einen Trojaner keine Sorgen zu machen - du wirst Dir noch genug von denen einfangen.

Immer mehr Schadprogramme können zudem von HJT nicht mehr erkannt werden. Deshalb sollte man die HJT.exe umbenennen. Z.B. in HJT2007.exe oder in einem anderen Namen.

Man könnte in dem Fall eine weitere lange Liste von Dateien für einen Onlinescan zusammenstellen, in der nächsten Filelist wären dann wieder neue da. In der Zeit, in der Du die Onlinescans machst und im Forum antwortest, würde deine Kiste fleißig neue Malware laden und installieren, rauhe Mengen Spam versenden, Webserver angreifen. Da sind diverse Downloader, Proxies und Backdoors.

Wenn Du schreibst :
.../... "Das beunruhigenste war jedoch, dass ab und zu plötzlich eine Meldung erschien, mein System müsse in 1 Minute heruntergefahren werden." .../...
&
.../... " Ich hoffe, ihr könnt mir irgendwie helfen, mein PC ist ein einziges Chaos atm. ".../...

solltest Du auf jeden Fall Dein Problem mit einem HJT-Log posten um , um zu erkennen was gerade aktuell in Deinem System läuft. Ein Blick in den Task-Manager würde ich Dir auch empfehlen,um zu überprüfen welche EXEN gerade aktiv sind. Achte dabei z.B. auf die CPU-Auslastung. Aber vom Grundgedanken her, nach ein wenig googeln, würde ich Deinem Rechner nicht mehr vertrauen.

Es gibt hier gute Leute mit fachlichen Tipps die Dir weiterhelfen können, aber ob das in diesem Fall wirklich die Mühe wert ist, mag ich zu bezweifeln, nur rein vom Arbeitsaufwand her.

Deshalb währe die einzig sichere Variante, den Rechner neu aufzusetzen.
Man schreibt das immer so leicht, aber hier ist das auch gut erklärt:
h**p://home.pages.at/chemikers-home/SETUP.html , etwas was ich auch hier im Board vermisst habe.

Da mein PC atm sowieso die meisten Seiten nicht mehr öffnen kann, unter anderem auch dieses Forum oder diverse Seiten für Onlinescans etc, hab ich die I Net Verbindung eh erstmal getrennt und schreibe dies von nem anderen PC aus.
Ich werd mal versuchen, wie Sunny hier wohl meint, Hijack mal drüber laufen lassen und das Log dann hier zu posten.

Die Zurücksetzung in den Kaufzustand ist mir sehr gut bekannt, wäre aber meine letzte Option, da die Datensicherung verdammt aufwendig sein würde.

Gut, hier mein Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:37:02, on 21.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis2007.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gbpxlsqlzyy.dll
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C4A29BF-73A7-41C2-BB1F-8AD093233AA2}: NameServer = 192.168.6.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{731712AC-09C2-4595-9963-0348B867B146}: NameServer = 192.168.6.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBF22441-4387-4EE8-8E32-3ABC04B92E01}: NameServer = 192.168.6.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Dies dürfte Dir als Beweis reichen:

"O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing"

Heisst nöscht anderes, als das Dein "Freund" sich dazwischen geklemmt hat und Deinen Zugang steuert.....

Gruß Patrick

Okay, das erklärt, warum viele Inet Seiten nicht mehr abrufbar sind.

Gibt es Wege, dagegen vorzugehen, oder hilft nun nur noch die System Recovery, alá in den Kaufzustand zurückversetzen?

Bzw gibt es noch weitere Sachen, die ich beachten sollte, z.B. bez. Passwörtern oder sowas worauf es mein "Freund", wie du es ausdrückst, abgesehen haben könnte?

Also Passwörter musst Du ändern, das ist das mindere Übel. Aber Deine Windsock ist ja auch gestört, rein thoretisch könntest Du zwar wie folgt vor gehen (Würde ich so machen, gibt bestimmt noch andere Wege) :

LSPfix
h**p://www.spychecker.com/program/lspfix.html
hake an: "I know what Im doing" -- Remove

und lösche rsvp32_2.dll (Kann sein das du die DLL versetzen musst, von links nach rechts) + Remove

+ rechner neustarten

wenn der 010-Eintrag im HijackThis nicht mehr vorhanden ist und damit die dll aus dem winsock, kannst du sie loeschen
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Aber mal ganz ehrlich, ich würde mir diesen Kram ersparen, wurstelst Dir nur einen rum, und ob wirklich alles wech ist, kann man nie wissen. Schließlich wird bei dieser Art von Befall immer das Neuaufsetzen empfohlen.
Warum das so problematisch ist, kannst Du auch hier nach lesen:

h**p://http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html

Ich würd den Rechner plätten, zu Deiner Sicherheit.

Gruß Patrick

Ach so, vergessen: Wenn Du mit Avenger arbeitest und z.B. folgende Dateien findest :
"C:\WINDOWS\system32\rsvp32_2.dll
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\lrm.exe "
dann grüne Ampel. Script wird dann automatisch ausgeführt, Rechner anschl. neu starten!
Aber wie schon geschrieben, lohnt den Aufwand nicht...

Gut, ich hab mit Lspfix die Datei entfernt und der Eintrag
"O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing"
ist verschwunden.
Was genau kann ich nun löschen? Nicht, dass ich da einen Fehler mache.

Dein Freund # Installiert sich in der Registrierung
# Hinterlässt nicht infizierte Dateien auf dem Computer
Du wurstelst Dir da einen bis zum

Ich denke mir mal das das alles recht kompliziert werden würde, Du musst sowieso im abgesicherten Modus arbeiten, diverse scans durchführen, zwischendurch immer Papierkorb leeren, temp-Dateien löschen (Z.B. mit clearprog) und die Syytemwiederherstellung deaktivieren, sonst ist Dein "Freund" beim nächsten mal wieder "on air". Dann musst Du die DLL auch noch aus dem Windows/System32 Ordner löschen:rsvp32_2.dll. und was weiss ich noch für welche dubiosen exen. Das wird aber ein Problem werden, da diese Datei geschützt ist. Also bruchst Du einen Unlocker. Tja, und wenn Du den installiert hast und DLL`s gelöscht hast, wird wohl dein Internet <erst mal> nicht mehr gehen.
Dann musst Du Dir Log-Dateien aus dem Windows/System32/Verzeichnis raus krosen (Kann aus dem Stehgreif nicht sagen welche, aber z.B. "form.txt" oder "info.txt" oder weiss der Geier was auch immer). Diese Logs enthalten einiges an Informationen und sind vom Trojaner erstellt worden.
Zwischendurch wieder scannen, dann musst Du auch die Registry Einträge von dem Teil unter HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersi on\ControlPanel\load suchen und löschen.
Und Heidewitzka und so weiter.

Also, wenn Du das möchtest, arbeite die Liste von Sunny ab und mach erst mal nen e-scan und poste das Ergebnis!

Aber nochmals, da jemand Deinen Rechner kontrolliert:
Wenn auf einem System eine Malware, wie z.B. ein Backdoor Trojaner oder ein Wurm mit Backdoor Funktionalität installiert und diese auch aktiv wurde, dann spricht man von einer Kompromittierung (Bloßstellung) des Systems. Dies hat zur Folge, dass alle Dateien (insbesondere AV Anwendungen) manipuliert werden können und somit die sensiblen Daten des Benutzers bzw. Systems als bekannt anzusehen sind.
Das System als solches ist folglich nicht mehr vertrauenswürdig, da die Möglichkeit des Fernzugriffs durch Dritte besteht.

Die einzig sichere Möglichkeit um wieder einen vertrauenswürdigen Zustand herzustellen wäre ein Neuaufsetzen des System mit anschliessender Absicherung.

Ich schreib dazu jetzt nöscht mehr...

So, hab den Kaufzustand wiederhergestellt, jetzt ist alles wieder in Ordnung.

Danke für deine Hilfe.